Датский эксперт по компьютерной безопасности предупредил пользователей приложений Microsoft Internet Explorer, Outlook и Outlook Express, что недавно обнаруженный пробел в защите этого ПО делает их системы уязвимыми для вредоносного кода, размещенного на Web-страницах или в сообщениях e-mail.
В распространенных 10 июля рекомендациях Тор Лархольм (Thor Larholm), эксперт по компьютерной безопасности и партнер компании PivX Solutions, специализирующейся на оценке рисков, предупреждает, что объекты HTML, встроенные в Web-страницы и электронные письма, могут содержать код, позволяющий атакующему исследовать содержимое cookie-файлов, читать документы и исполнять программы на компьютере жертвы.
Баг, называемый cross-domain scripting flaw, обнаружен 25 июня, и с тех пор информация о нем попала в несколько секьюрити-бюллетеней. Лархольм проинформировал Microsoft в тот же день, когда обнаружил баг. "Так как он, по всей вероятности, получил довольно широкую огласку... я решил распространить эти рекомендации всего через две недели", - говорится в обращении Лархольма.
Microsoft утверждает, что Лархольм переоценивает серьезность ошибки. "Из его рекомендаций не следует, что эта проблема может привести к каким-то серьезным последствиям", - сказал представитель компании, добавив, что тем, кто посещает только надежные сайты, опасность не грозит, как и пользователям, установившим патчи для клиентских программ e-mail от Microsoft. В то же время компания критикует Лархольма за слишком быстрое раскрытие информации о баге. "Жаль, что Тор решил опубликовать ее до того, как мы подготовим патч: это значительно повышает риск для пользователей", - сказал представитель компании.
Объем распространяемой информации о багах и то, как быстро консультанты предают ее гласности, стали предметом спора между производителями ПО и экспертами из секьюрити-компаний. Однако недавно исследователи высказали предположение, что корпоративные заказчики, пострадавшие от ляпсусов производителя ПО, на самом деле предпочитают, чтобы сведения о багах публиковались быстрее.
Хакеры и эксперты довольно часто находят пробелы в защите Microsoft Internet Explorer. В июне Microsoft выпустила патч для ошибки IE, которая позволяла атакующим исполнять код на компьютере жертвы, используя ссылки на устаревший протокол Gopher. А месяцем ранее компания выпустила патч для того же продукта, исправляющий шесть отдельных ошибок.
Чтобы устранить проблему, выявленную на этот раз, Лархольм рекомендует пользователям запретить ActiveX в меню параметров безопасности Internet Explorer или использовать IE и Outlook в "ограниченном" режиме - по крайней мере до тех пор, пока Microsoft не выпустит патч. Microsoft обещает сделать это в ближайшее время, сообщает "ZDNet".
